|
Компания Microsoft подтвердила взлом группировкой Lapsus$
Корпорация Microsoft подтвердила, что хакерская группа LAPSUS$, занимающаяся вымогательством, получила «ограниченный доступ» к ее системам. По словам специалистов, взлом удался благодаря скомпрометированной учетной записи, настройки которой были оперативно сброшены для предотвращения дальнейшей вредоносной активности. Доступ к клиентскому коду или данным получен не был. Для защиты от злоумышленников компания рекомендует: использовать мультифакторную аутентификацию для доступа ко всей инфраструктуре, доступной из интернета или локально; использовать токены FIDO, проверку Windows Hello или Microsoft Authenticator с сопоставлением номеров и избегать методов MFA на основе телефонии, чтобы избежать рисков, связанных с кражей SIM-карты; использовать защиту паролей Azure AD, для предотвращения использования пользователями легко угадываемых паролей.
|
|
Выявлено вредоносное ПО для macOS под названием GIMMICK
Исследователи обнаружили ранее неизвестный вариант ВПО для macOS под названием «GIMMICK», которое, предположительно, является кастомным инструментом, используемым китайской шпионской группировкой Storm Cloud. GIMMICK - многоплатформенное вредоносное ПО, написанное на Objective C, Delphi или .NET. Все варианты используют одну и ту же С2-архитектуру, пути к файлам и модели поведения, поэтому они отслеживаются как один инструмент, несмотря на различия в коде. ВПО обычно запускается в системе или самим пользователем, или демоном. После этого оно устанавливает себя как двоичный файл с именем «PLIST», обычно имитирующий активно используемое приложение на целевой машине. Вредонос был обнаружен исследователями компании Volexity, которые извлекли его из оперативной памяти MacBook Pro под управлением macOS 11.6 (Big Sur), который был скомпрометирован в результате кампании кибершпионажа в конце 2021 года. По словам специалистов, группировка действует очень осторожно, оставляя минимальный след и удаляя остатки вредоносных программ, чтобы сохранить свои инструменты в секрете и избежать обнаружения на основе IoC.
|
|
Исследователи Cloudflare опубликовали результаты расследования инцидента в Okta
Ранее представитель компании Okta подтвердил, что в январе текущего года хакеры предприняли попытку получить доступ к ноутбуку одного из инженеров службы поддержки. Со своей стороны, группировка утверждает, что был скомпрометирован тонкий клиент. Скриншоты, которые были ранее опубликованы представителями Lapsus$, демонстрировали почтовый адрес одного из сотрудников Okta, который, предположительно, обладал правами «суперпользователя» для составления списка пользователей, сброса паролей, сброса MFA и доступа к запросам в службу поддержки. Согласно результатам расследования, у злоумышленников был доступ к ноутбуку этого сотрудника с 16 по 21 января 2022 года. В течение этого периода LAPSUS$ могли получить доступ к панели поддержки клиентов Okta и внутреннему Slack-серверу. |